iptables是linux系统中非常重要的一个工具。在firewalld普遍应用之前,人们都是利用iptables来对linux系统做网络安全配置。
linux内核中有一个Netfilter模块,此模块负责管理整个系统的网络交通。通俗的理解,就是每一个linux系统中都有一个路由器,它负责管理整个系统的网络交通的通行权限。如果您想查看这个抽象的路由器,可以使用router或者ip(ip route show table main/local/default)命令,查看本机的网络交通。详细可以参考route表格路由规则相关文档。
iptables就是一个linux下的工具,它负责与Netfilter模块进行通信和配置。其实firewalld也是做同样的工作,更甚至可以把firewalld理解为iptables的上游软件。firewalld采用更便于人类理解的机制来调用iptables工具。
iptables有最基本的chain ,table和target的概念。简单的说,iptables中有多个table,每个table里面记录了多个chain,每个chain指向一个target。这个target指的就是该chain对某个数据包的判决。比较常用对数据包作出的判决包括:允许通过,拒绝通过,或者无视该数据。此外,iptables工具可以指定哪个/哪些ip的数据包不准流入/流出到某个target等。此外iptables还有各种表格,典型的除了默认表格外,还有NAT表格。这个表格中指定的规则都是有ip地址转化功能的流入流出ip地址权限控制。
此文拥有对iptables更详细的解释说明。
《iptables命令》有一个想法